So-net無料ブログ作成
検索選択

ネット上への情報流出相次ぐ~Excelで別シート見逃し/うっかりミス/知識不足 [情報漏洩]

 個人情報や顧客情報をインターネット上に流出させてしまう事故が相次いでいる。8月以降に公表された事故6件(非公開情報の消し忘れ2件、ファイルの取り違え1件、非公開情報を公開エリアに置いてしまったもの2件、パスワードの付け忘れ1件)についてまとめた。

■非公開情報の消し忘れ
 公開する意図をもって作成した情報に、公開してはいけない情報が混入していたケースだ。

・北海道旭川南高校、昨年の体験入学希望者名簿をホームページに誤掲載
 北海道立旭川南高校(北海道旭川市)は9日、8月29日に同校ホームページに掲載した「一日体験入学」参加申込み用の書式に、昨年度の体験入学に参加を希望した中学生534名の氏名と中学校名を含む名簿が含まれていたと発表した。同校によると、参加申込書はExcelファイルで、昨年使用したものを基に作成。ファイルの別シートに当該名簿があることに気付かず、掲載してしまったという。同校は今後、個人情報を厳重に管理する校内体制を構築するとしている。
[関連URL]平成23年度「一日体験入学」のお知らせ(北海道旭川南高等学校)
http://www.asahikawaminami.hokkaido-c.ed.jp/kyokunan/Kinfo.html#h23taiken1

・大阪府、個人情報を含む資料をホームページに誤掲載
 大阪府は8月26日、市内施設利用者の満足度調査結果をホームページに掲載した際、個人情報を含む資料を誤掲載したと発表した。府によると、アンケートに回答した28機関の担当者28名の氏名を含む資料が、7月6日から8月26日まで掲載されていた。施設を所管するIT推進課が調査結果をExcelファイルにまとめ、公表すべきデータのシートのほかに個人情報を含むシートも添付した状態で、公表を担当する行政改革課に提出。当該シートの前に空シートが複数連続していたため、行政改革課では気付かなかったという。府では、Excelデータを公表する前にはすべてのシートをチェックする、データの作成担当課と公表担当課で二重チェックを行うなどの対策を行うとしている
[関連URL]府ホームページにおける個人情報を含む情報の誤掲載について(大阪府)
http://www.pref.osaka.jp/hodo/index.php?site=fumin&pageId=8007

■ファイルの取り違え
 用意したファイルと別のファイルを取り違えて公開しまったケースである。

・山形県、個人情報含む資料をホームページに誤掲載
 山形県は8月11日、県のホームページに誤って個人情報を含む資料を掲載したと発表した。誤掲載したのは8月9日。山形新聞と読売新聞の報道によると、誤掲載したのは、放射線に関して県に寄せられた質問316件をまとめた資料で、質問の内容と質問者の名前、性別、居住地などが含まれていた。質問のほとんどは匿名で寄せられたものだったが、6件に個人の名字と電話番号が、29件に団体名が記載されていたという。県の水大気環境課の職員が、空間放射線量のデータをホームページに掲載しようとして、正しいファイルと同資料のファイルを取り違えて掲載。30分後に気付いて削除した。県では、再発防止を徹底するという。
[関連URL]山形県ホームページ
http://www.pref.yamagata.jp/

■非公開情報を公開サイト(エリア)に
 公開するつもりではなかった情報を、誰でも閲覧できる場所に置いてしまったケース。

・自立支援施設の入所者名簿がホームページで閲覧可能に
 名古屋市は8月31日、ホームレス緊急一時宿泊施設「名城公園宿泊所」に入所していた人の名簿がネット上で閲覧可能になっていたと発表した。市によると、2009年5月から今年8月24日まで、過去の入居者1284名分の氏名、性別等が閲覧可能となっていた。同施設を運営する有隣協会(本部:東京)の職員が、協会の本部とデータの受け渡しをするためにホームページ作成ソフトを使用。職員は、同ソフトの中のデータがインターネットで検索、閲覧可能な“公開状態”となっていることを知らず、作成したデータをソフトの中に残していた。市では、同協会に対し個人情報を適正に管理するよう指導する。同協会では、個人情報の流出防止策を徹底するとしている。
[関連UR])名城公園宿泊所の元入所者に関する個人情報の流出について[PDF](名古屋市)
http://www.city.nagoya.jp/kenkofukushi/cmsfiles/contents/0000028/28095/230831meijoukouennsyukuhakujo.pdf

・総合研究大学院大学、個人情報がホームページで閲覧可能に
 総合研究大学院大学(本部:神奈川県葉山町)は8月10日、高エネルギー加速器科学研究科が設置されている基盤機関において、個人情報を含む会議資料がアップロード場所の誤りから検索エンジンに拾われ、ネット上で閲覧可能になっていたと発表した。発表によると、個人情報を含むデータは11件で、2011年度前期の入学料免除者や授業料免除者に関するデータ、奨学金申請者のデータ、留学生の合否判定データ、入学者選抜関連のデータなど。掲載されていた期間はデータによって異なるが、昨年12月から今年6月までとなっている。部外者からのアクセスが、多いものでは46件あった。同大学では、取り急ぎの対策として資料ファイルへのパスワード設定を徹底し、今後、学内の委員会等で対応策を検討するとしている。
[関連URL]個人情報流出について(お詫び)(総合研究大学院大学)
http://www.soken.ac.jp/news_all/1983.html

■パスワードの付け忘れ
 データを限定公開とするつもりだったが、設定を誤ったケース。「ユーストリーム」で動画を限定公開するには、パスワードをつける必要がある。

・システムオリジン、顧客情報含む動画が外部から閲覧可能に
 ソフトウェア開発を行うシステムオリジン(本社:静岡市清水区)は13日、動画共有サービス「ユーストリーム」を利用して同社社員に公開していた研修会や勉強会等の動画8本が、設定ミスにより外部からもアクセス可能となっていたと発表した。動画には、顧客や取引先企業の情報が含まれていた。同社によると、動画は3月3日から7月25日に撮影したもの。事態が判明したのは8月1日で、当該期間に外部から12件のアクセスがあった。同社は再発防止のため、セキュリティ体制を強化し、情報システムの総点検と再整備を行うとしている。
[関連URL]情報流出についてのお詫びとお知らせ(システムオリジン)
http://www.system-origin.jp/company/release/2011091302/

(2011/09/15 セキュリティ通信)